QQ木馬“QQPass”禍害無窮-電腦教程

    病毒名稱：Trojan.PWS.QQPass.gKb6
發現日期：2002-10-14
病毒類型：特洛伊木馬
感染長度：123392字節
病毒危害：低
傳播速度：低
受影響系統：Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影響系統：Windows 3.x, Macintosh, Unix, Linux

技術特征：

這是一個盜取密碼的木馬程序，能夠盜取密碼及用戶信息。由于它是一個Visual Basic應用程序，需要有Visual Basic庫才能運行。運行后，它會：

1.搜索本地機器如下程序，一旦找到即會終止其進程：
Kav9x.exe
Smenu.exe
Ravmon.exe

2.將記事本程序%windir%Notepad.exe更名為%windir%Mspad.exe；

3.將自己復制為如下文件：
%windir%Eudcedit.exe
%windir%Freecell.exe
%windir%Kaedit.exe
%windir%Msscr.exe
%windir%Notepad.exe
%system%Mstray.exe

上述對系統的修改使得它與記事本進行關聯，這樣每次打開記事本文件時，木馬都會運行。
隨后它通過修改如下注冊表來勾住系統:

（1）將鍵值SystemKav %system%MSTRAY.EXE
添加至HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；

（2）將HKEY_LOCAL_MACHINESOFTWARECLASSESregfileshellopencommand
默認鍵值改為(Default) %windir%KAEDIT.EXE %1

（3）將HKEY_LOCAL_MACHINESOFTWARECLASSESscrfileshellopencommand
鍵值改為(Default) %windir%MSSCR.EXE %1

（4）將HKEY_LOCAL_MACHINESOFTWARECLASSESchm.fileshellopencommand
鍵值改為(Default) %windir%MSSCR.EXE %1

上述對注冊表的修改，使得系統運行、打開注冊表文件、運行屏保及打開編譯過的幫助文件等操作時，木馬都會自動運行。

木馬源代碼中含有如下字符串：
FileDescription: Task Monitor
InternalName: Winpad
OriginalName: Winpad.EXE